Registro de acceso a los derechos de usuario de administrador en macOS

0

mi pregunta es una extensión de la pregunta anterior dentro de esta link . Alguien podría decirme cómo puedo protestar mensajes como este en syslogd o algo similar en un archivo en macOS 10.12, 10.13 y 10.14

Ese es el comando para la autenticación fallida que estoy usando: log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d

Eso es el resultado del comando:

2018-10-17 10:33:23.188301+0200  localhost opendirectoryd[78]: (PlistFile) [com.apple.opendirectoryd:auth] Authentication failed for <private> with ODErrorCredentialsInvalid

Ese es el comando para la autenticación exitosa que estoy usando: log show --predicate '(eventMessage CONTAINS "AuthenticationAllowed")' --style syslog --last 1d

Eso es el resultado del comando:

2018-10-17 10:56:11.977875+0200  localhost opendirectoryd[78]:(AccountPolicy) [com.apple.AccountPolicy:Framework]AuthenticationAllowed: Evaluation result for record "<private>",record type "<private>": Success

Tampoco pude averiguar cómo puedo hacer que el registro no privado del comando sea persistente, aquí está el comando: sudo log config --mode "private_data:on"

He editado syslogd con este código, pero no incluye los mensajes que te dije antes en mi mensaje.

auth.*                          /var/log/test/authlog

Aquí encontrará algunos antecedentes de por qué quiero hacer esto, ya que necesitamos el protocolo de intentos de inicio de sesión exitosos y fallidos también para los cambios de administración en un archivo en nuestros MacBooks.

¡Gracias por tu ayuda!

Heiko

    
pregunta Heiso 17.10.2018 - 11:26

0 respuestas

Lea otras preguntas en las etiquetas